Вопросы Теги

Надежна ли защита клиентов OpenVPN брандмауэром на основе IP?

Инструмент, который вы ищете, socat. Поскольку вы тестируете один единственный веб-сервер, вы можете попросить его установить постоянное соединение с этим сервером (, пока он не решит закрыть его --, соответственно отрегулируйте время ожидания ), и как только это будет сделано, вы можете использовать соединение как туннель. Ниже приведены два способа сделать это.

Запрос через сокет Unix

curlимеет опцию --unix-socket, которая позволяет вам отправлять HTTP-запросы и получать HTTP-ответы через сокет Unix (спасибо, thrig, за поучительный комментарий)

Вы бы использовали это так:

socat TCP:10.5.1.1:80 UNIX-LISTEN:/tmp/curl.sock,fork

Затем на другом терминале:

curl --unix-socket /tmp/curl.sock http://10.5.1.1/message1.txt
curl --unix-socket /tmp/curl.sock http://10.5.1.1/message2.txt
...

Запрос через псевдо -HTTP -прокси

Вы также можете сделать свой туннель доступным в качестве псевдо--прокси, через который будут подключаться wget, curl,....Преимущество этого решения в том, что оно не ограничивается curl.

На этот раз socatпрослушивает локальный TCP-порт (, скажем, 3128):

socat TCP:10.5.1.1:80 TCP-LISTEN:3128,fork,reuseaddr

Затем на другом терминале:

export http_proxy='http://localhost:3128'
curl http://10.5.1.1/message.txt
wget http://10.5.1.1/message.txt
....

Обратите внимание, что, поскольку HTTP-клиент использует прокси-сервер, HTTP-запрос будет немного изменен, и это может быть нежелательно.

Разумеется, ни одно из этих двух решений не предназначено для использования с несколькими HTTP-серверами, поскольку это ваш -веб-сервер в конце канала, который получает все запросы.

0
19.09.2019, 20:41
1 ответ

Это было бы безопасностью через неизвестность. По-видимому, у клиента есть способы переопределить свой IP-адрес, и хотя теоретически вы можете обеспечить безопасность, есть много движущихся частей.

Вот сообщение на форумах OpenVPN о клиентах, переопределяющих свои IP-адреса:https://forums.openvpn.net/viewtopic.php?t=22598

Таким образом, это будет эффективно, пока кто-нибудь не догадается об этом. Однако, если кто-то подключается к сети между OpenVPN и частным сервером, у него есть доступ. Лучше всего, вероятно, заблокировать явно плохие IP-адреса, чтобы предотвратить перебор и DoS, но полагаться на сервер для аутентификации.

Если сервер ненадежен или не имеет вариантов аутентификации, вы можете использовать OpenVPN для его защиты, но я бы сделал один сервер OpenVPN на каждый частный сервер и не разрешил бы другой трафик по сети (напрямую или частная VLAN )между ними.

0
28.01.2020, 03:16

Теги

Похожие вопросы